Merhaba sevgili KernelBlog takipçileri. Bu yazımda sizlere Adli Bilişimde Olay Müdahalesi Sırasında uyulması gereken kuralların öneminden bahsedeceğim.
Öncelikle Adli Bilişim temelde üç temel başlık altına ayıracak olursak delillerin tespit edilmesi, toplanması ve muhafaza edilmesi ilk aşamadır. Bu aşamayı şuanki günümüz şartlarında özel kuvvetler, kolluk kuvvetleri, olay yeri inceleme uzmanları yapmaktadır. Biz bu makalemizde bu aşamada çalışan kişilerin yapması gerekenler üzerinde duracağız. Deliller bulunduktan sonra ise delilleri açığa çıkartma, inceleme analiz etme aşaması gelmektedir. İşte bu aşamada devreye adli bilişim uzmanları, adli bilişim mühendisleri devreye girer ikinci ve üçüncü aşamada bu kişiler daha çok görev alır. Üçüncü aşama ise bu incelenen delillerin raporlandırılması aşamasıdır.
Adli bilişimde olay yeri’nde yapılan işlemlerde yapılan hatalar, delillerin gerçekliğine ve güvenilirliğine gölge düşüreceği için tüm süreci sekteye uğratır. Bu yüzden ilk aşamada çalışan kişilerin arama, kopyalama ve el koyma işlemlerini yönetmeliğe uygun bir şekilde hatasız ve kontrol altında yapması gerekir.
Yönetmelik demişken de bilişim suçları ile mücadele eden kişilerce ilerleme sağlamış ülkelerde olay yerinde çalışan ekibin adli bilişim ile ilgili konularda nasıl hareket edeceklerini bağlayıcı hale getiren ve yanlış yapılan işlemlerin bir ihlal olarak değerlendirileceği ve bunun yaptırımlarının olacağı düzenlemeler mevcuttur. Ama ülkemizde henüz bu konuda hazırlanmış kapsamlı bir düzenleme bulunmamaktadır.
Ceza Muhakemesi Kanununun 134. maddesi ve Adlî ve Önleme Aramaları Yönetmeliğinin 17. Maddelerine bir göz atalım.
Maddeler bu şekilde ama sizinde farkettiğiniz gibi maddeler oldukça eksik 17. Madde de sadece soruşturmanın evresinden bahsediyor olması ve kovuşturma evresinde bulunan şüpheli bilgisayarın ne olacağı konusunda net bir kanı bulunmamaktadır. Kanun ve yönetmelikte “başka surette delil elde etme imkanının bulunmaması halinde” ibaresinin kullanılması ise, birçok suçun doğrudan suç aleti olan veya suçun işlenmesi esnasında vasıta olarak kullanılan elektronik aygıtlardan elde edilecek delillerin ikinci plana atılması olarak algılanmakta ve buna anlam verilememektedir. Çünkü bilişim sistemleri kullanılarak işlenen bilişim suçlarında, başka surette delil elde etme imkanı bulunmamaktadır.
Olay yerinde bulunan müdahale grubunun üzerinde titizlikle durması gereken başlıca hususları şöyle sıralayabiliriz.
- Delillerin değişmesine ya da bozulmasına imkân tanımamak için, olay yerinin güvenliği sağlanmalıdır. Bu aşamada olay yerine giriş kontrol altına alınmalıdır, giren ve çıkan kişilerin kaydı tutulmalı ve amaçsız bir şekilde olay mahallinde olmasına izin verilmemelidir.
- Mümkün olduğu müddetçe olay yerinde bir adli bilişim uzmanı da bulunmalı ve dijital delillerin toplanması işlemlerini kolluk kuvvetleri, özel kuvvetler ve ya bir adli bilişim uzmanı tarafından yapılmalıdır. İşlemlere başlamadan önce, kullanılacak olan kontrol listeleri, donanımlar ve yazılımlar hazırlanmalıdır.(Kontrol listeleri, olay yerindeyken herhangi bir adımı atlamadan, sağlıklı ve eksiksiz bir çalışma yapılmasına yardımcı olur. Çalışma esnasında uygulanan prosedürün güvenilebilirliğine de katkıda bulunur. Kontrol listeleri, her olay sonrası gelişen yeni durumlara bağlı olarak gözden geçirilmeli ve güncellenmelidir.)
- Olay yerinde herhangi bir işleme başlamadan önce, farklı açılardan ve mümkün olduğunca çok sayıda fotoğraf çekilmelidir. Gözden kaçan noktaları sonradan tespit edebilmek ya da daha sonra duyulabilecek şüpheleri gidermek amacıyla kullanılır. Çalışma esnasında ise, oda içindeki konumlarını da gösterecek şekilde olay yerinde kullanılan tüm materyaller, bilgisayar ekranında görülen bilgiler ve tüm bağlantı kabloları fotoğraflanmalıdır.
- Olay yerinde bulunan ve delil olarak değerlendirilmesi muhtemel tüm materyaller delil etiketleri ile etiketlenmelidir. Etiketlerin üzerinde yeterli açıklamalar bulunmalıdır. Bilgisayar kasalarının arka bölümündeki kablo bağlantılarının, mümkünse bağlantı noktasını da gösterir şekilde etiketlenmesinde fayda vardır. Taşınabilir aygıtlar, paket yapıldıktan veya korumalı kaba yerleştirildikten sonra ayrıca etiketlenmelidir.
- Bir envanter oluşturularak, olay yerinde el konulan tüm nesneler seri numaraları ile birlikte listeye kaydedilmelidir. Her türden nesne için farklı bir envanter listesi oluşturulmalı ve oluşturulan listeler grup içerisinde bulunan farklı kişiler tarafından da kontrol edilmelidir. Envanterlerin kopyalanması ve her kopyanın imzalatılması ihmal edilmemelidir.
- Sürecin başladığı andan son ana kadar yapılan her işlem mutlaka dokümanlara kaydedilmelidir. Daha sonra yapılan itirazlara karşı savunma olarak kullanılabilir. Dokümanlarda tarih/saat bilgilerinin ve olay yerinde bulunan şüpheli ve avukatının imzasının bulunması da ayrıca önemli hususlardandır.
- Bilgisayarlara uzaktan erişim amacıyla erişmeyi sağlayan cihaz ve bağlantılar öncelikle tespit edilmeli ve sökülmeden etiketlenmelidir. Şayet olay yerine ulaşıldığında bilgisayar açık ve uzaktan erişim mevcutsa, bu durumda bağlantı iptal edilmeli ve mutlaka not edilmelidir. Benzer şekilde, bilgisayarların başka bilgisayarlar ya da bilgisayar ağlarıyla haberleşmesinde kullanılan tüm bağlantılar etiketlenmelidir.
- Dijital delillere zarar verebileceği için, dijital deliller toplanmadan gizli izleri elde etmek amacıyla olay yerinde kimyasal maddeler kullanılmamalıdır. CD/DVD, klavye, fare ve diğer bilgisayar donanım birimleri üzerinde bulunan parmak izleri, inceleme sonrasında elde edilen delillerle kişiler arasındaki bağlantıyı kurmak açısından önem teşkil etmektedir ve korunmasına özen gösterilmelidir. Çevresel önlemlerin alınmasından sonra çalışan sistemler üzerinde incelemeler yapılmalıdır. Bu esnada, web kameralarının varlığı ve tuzaklanmış çalışan programlara dikkat edilmelidir.
- Bilgisayarın kapatılması işlemine bağlı olarak bazı verilerin temizlenmesini sağlayacak programların ya da işletim sistemi tanımlamalarının bulunmadığından emin olunmalıdır. Olay yerinde bulunan bilgisayar sistemlerinin BIOS bilgileri kaydedilmelidir. Özellikle BIOS tarih/zaman bilgilerinin gerçek zaman bilgilerinden farklı olması halinde, bu durum mutlaka inceleme formunda belirtilmelidir.
- İmaj alma işlemi sırasında farklı bilgisayar kullanılmalı ve imajların karışmaması için yapılan isimlendirme ve etiketlendirme işlemlerinde titiz olunmalıdır. Tüm veri depolama birimlerinin adli bilişim standartlarına uygun imajı alınmalıdır. Taşıma esnasında zarar gelmeyecek şekilde orijinal diskler güvenli ortamlarda saklanmalıdır.
- Olay yerinde bulunan ve üzerinde veri depolama ünitesi olan her türlü elektronik cihaz dikkate alınmalı ve hassasiyetle incelenmelidir. Kurum ve kuruluşlarda dijital delillerin toplanması esnasında sistemlerin çalışır durumda olmasına özen gösterilmelidir. Çalışma istasyonu ile sunucu bilgisayar ve diğer ağ donanım birimleri arasındaki bağların tam olarak anlaşılması bu aşamada oldukça önemlidir.
- Bilgisayar ya da çalışma masası etrafında bulunan notlar kaydedilmeli ve aynı zamanda fotoğrafları çekilmelidir. Bu tür notlarda analiz aşamasında ihtiyaç duyulabilecek şifre ve kullanıcı kayıt bilgileri yer alabilmektedir.
Bu şartlar olaya göre, suçun işlendiği mekana göre ve ya canlı sistemlerin var olması sebebiyle anlık çözümler üretilip yeni maddeler eklenmesine sebebiyet verebilir. Unutmayalımki insanın olduğu her sistemde bir açık mutlaka vardır. İnceleyen bir program olarak gözükse de inceleyen uzmanın adli bilişim yeteneğine bağlıdır. Programdan istenilen delilin nasıl çıkartılacağını bilmek gereklidir. Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar..